1. In één oogopslag
Thanxful is een app waarmee u een persoonlijk dankbaarheidsdagboek kunt bijhouden en — als u dat wilt — door AI gegenereerde inzichten kunt ontvangen over wat u schrijft. Uw dagboek is van u. Wij raken uw aantekeningen alleen aan om de Dienst te laten functioneren. Wij verkopen uw gegevens nooit, gebruiken ze nooit voor reclame en laten ze nooit gebruiken om AI-modellen te trainen.
| Onderwerp | Kort antwoord |
|---|---|
| Verwerkingsverantwoordelijke | Kadir Alan — eenmanszaak (şahıs şirketi), Türkiye. Contact: [email protected]. |
| Welke gegevens worden verwerkt? | Uw e-mailadres, naam, profielfoto (optioneel), uw dagboekaantekeningen, stemming, apparaat- en abonnementsgegevens. |
| Waarom? | Om de Dienst aan te bieden, abonnementen te beheren, herinneringsmeldingen te versturen en — uitsluitend wanneer u uitdrukkelijke toestemming geeft — door AI ondersteunde inzichten te genereren op basis van uw aantekeningen. |
| Met wie worden ze gedeeld? | Onze dienstverleners: Google Firebase (infrastructuur), OpenAI en Google Gemini (AI), RevenueCat (abonnementen), Apple (aanmelden, meldingen, beveiliging). Uw gegevens worden niet verkocht of verhuurd. |
| Waar worden ze opgeslagen? | Uw account en dagboek bevinden zich in de Europese Unie (Google Cloud europe-west1, België). Uw aantekeningen worden alleen naar de Verenigde Staten doorgestuurd wanneer u de AI-functie inschakelt. |
| Hoe lang? | Totdat u uw account verwijdert. Bij verwijdering worden uw gegevens onmiddellijk uit onze actieve systemen gewist en binnen 30 dagen ook uit back-ups en logbestanden verwijderd. |
| Welke rechten heeft u? | Inzage, rectificatie, verwijdering, dataportabiliteit, bezwaar en intrekking van toestemming. Schrijf naar [email protected] met onderwerp Privacy; wij reageren binnen 30 dagen. |
2. Identiteit van de Verwerkingsverantwoordelijke
De Thanxful-app wordt aangeboden door Kadir Alan, die in Türkiye opereert als eenmanszaak (şahıs şirketi).
| Verwerkingsverantwoordelijke | Kadir Alan — eenmanszaak (şahıs şirketi), Türkiye |
| Contact | [email protected] (door Privacy in de onderwerpregel te vermelden, helpt u uw verzoek correct te laten doorsturen) |
Als eenmanszaak vallen wij onder de drempel voor inschrijving in het KVKK-register voor verwerkingsverantwoordelijken (VERBİS) en onder de drempel voor het aanstellen van een Functionaris voor de Gegevensbescherming op grond van artikel 37 van de GDPR; wij zijn dan ook niet verplicht om in VERBİS te worden ingeschreven of een DPO aan te stellen. Indien deze situatie wijzigt, wordt dit beleid bijgewerkt. Voor een postadres voor formele kennisgevingen kunt u ons schrijven via [email protected]; het correspondentieadres wordt op verzoek verstrekt.
3. Toepassingsgebied
Dit beleid is van toepassing op het volgende:
- De Thanxful iOS-app die wordt gepubliceerd in de Apple App Store (
com.aota.thanxfulen de bètacom.aota.thanxful.beta). - De website
thanxful.app(promotiepagina's, deze juridische documenten en aanverwante inhoud).
De privacypraktijken van diensten van derden waarnaar u vanuit de app of site wordt doorgeleid (bijv. Apple App Store, OpenAI, RevenueCat) zijn onderworpen aan het privacybeleid van die respectieve dienst; de Verwerkingsverantwoordelijke draagt hiervoor geen verantwoordelijkheid.
4. Categorieën Verwerkte Persoonsgegevens
Er worden uitsluitend persoonsgegevens verwerkt die noodzakelijk zijn voor de levering van de Dienst. De gegevens zijn onderverdeeld in zes categorieën:
4.1 Identiteitsgegevens
Bij het aanmaken van een account worden de volgende gegevens verwerkt:
- E-mailadres (verplicht).
- Naam/weergavenaam (optioneel; u kunt deze op elk moment wijzigen of leeg laten).
- Profielfoto (optioneel; opgeslagen in Firebase Storage).
- Een door het systeem automatisch gegenereerde Firebase-gebruikers-ID.
- Indien u Sign in with Apple gebruikt: uw e-mailadres (echt of het privédoorstuuradres van Apple) en, indien u dat verkiest, uw volledige naam. Apple deelt uw Apple ID niet met ons.
4.2 Dagboekinhoud — kan kwalificeren als bijzondere categorieën van persoonsgegevens
Voor elke aantekening die u opslaat, worden de volgende gegevens verwerkt:
- Tekst van de aantekening (maximaal 3.000 tekens).
- Opmaak met opgemaakte tekst (vet, cursief, lijsten — maximaal 30.000 tekens, gecodeerd).
- Optionele stemmingsselectie.
- Informatie over de prompt waarop u heeft geantwoord (indien van toepassing).
- Lokale kalenderdatum.
Dagboekinhoud is persoonlijk en gevoelig. Op grond van artikel 6 van de KVKK en artikel 9 van de GDPR kunnen dagboekteksten bijzondere categorieën van persoonsgegevens bevatten met betrekking tot uw gezondheid, religieuze overtuiging, politieke opvatting, seksueel leven of vakbondslidmaatschap. Daarom is de verwerking van uw dagboekinhoud door kunstmatige intelligentie volledig afhankelijk van uw uitdrukkelijke toestemming (zie §6).
4.3 Profiel- en voorkeursgegevens
- Reeksgegevens (huidige en langste reeks).
- Tijdstip van laatste activiteit en tijdzone (de IANA-tijdzone van uw apparaat, bijv.
Europe/Istanbul). - Taalvoorkeur (uw keuze uit een lijst van 30 talen).
- Themavoorkeur (Espresso, Cosmos, Oat, enz.).
- Meldingsinstellingen: of herinneringen aan- of uitstaan, het tijdstip van de herinnering en de tijdzone.
- Abonnementsstatus: of u een actief premium-abonnement heeft (via RevenueCat; zie §7).
- Registratie van AI-toestemming — een uitsluitend toevoegbaar (append-only) logboek met uw handelingen ten aanzien van het verlenen, weigeren of intrekken van toestemming, de bron daarvan (onboarding, na een aantekening, na aankoop of via Instellingen), de tijdstempel en het aantal getoonde prompts. Deze registratie wordt bijgehouden conform Apple App Store Review Guideline 5.1.2(i).
4.4 Apparaat- en gebruiksgegevens
Tijdens het gebruik van de app worden de volgende gegevens automatisch verwerkt:
- Apparaatgegevens: model, besturingssysteemversie, app-versie, landinstelling, land, tijdzone en de interne app-instance-ID van Firebase.
- FCM-meldingstoken (token) — een token dat door Firebase Cloud Messaging aan uw apparaat wordt toegewezen om herinneringen te kunnen verzenden. Wordt gekoppeld aan uw account opgeslagen in Firestore en vernieuwd na herinstallatie of afmelden.
- Gebeurtenisgegevens: metagegevens zoals welk scherm u in de app heeft bekeken, of u een aantekening heeft opgeslagen, of u een inzicht heeft geopend en of u een aankoop heeft gestart — maar de inhoud van uw aantekening wordt niet in deze logbestanden opgenomen.
- Crashrapporten via Firebase Crashlytics (stack trace, apparaatstatus op het moment van de crash). In debug-builds is Crashlytics uitgeschakeld; in builds die aan gebruikers worden gedistribueerd is dit ingeschakeld.
De volgende gegevens worden niet verwerkt:
- Uw IP-adres binnen de app (Firebase Analytics toont deze informatie niet aan ons).
- Uw advertentie-identificatie (IDFA) — er wordt gebruikgemaakt van de Firebase-versie zonder AdSupport en signalen voor advertentiepersonalisatie zijn uitgeschakeld.
4.5 Abonnementsgegevens
Wanneer u een Thanxful-abonnement aanschaft:
- Wordt de transactie uitgevoerd door Apple (App Store). Uw betaalmethode of kaartgegevens worden niet aan ons doorgegeven.
- Beheert RevenueCat de levenscyclus van het abonnement namens ons. Het gegeven dat met RevenueCat wordt gedeeld is uw Firebase-gebruikers-ID; RevenueCat geeft de product-ID, status, vervaldatum en verlengingsdatum aan ons door.
4.6 Communicatie en feedback
- Ondersteuningse-mails die u verstuurt naar
[email protected]. - Functieverzoeken en foutrapporten die u vanuit de app verzendt (op dagelijkse basis beperkt om misbruik te voorkomen). De door u geschreven tekst, uw gebruikers-ID en het verzendtijdstip worden bewaard. Wanneer u uw account verwijdert, wordt feedback geanonimiseerd (de gebruikers-ID wordt vervangen door
"deleted_user"); de tekst zelf wordt niet verwijderd, maar de koppeling met u wordt verbroken.
4.7 Onboarding-proefversie (vóór het aanmaken van een account)
Indien u één AI-inzicht wilt uitproberen zonder een account aan te maken, worden de volgende gegevens verwerkt:
- Een door uw apparaat gegenereerde apparaat-UUID (geen IDFA).
- Een met SHA-256 gehasht IP-adres (het ruwe IP-adres wordt niet bewaard).
- Een Apple DeviceCheck-token (om te voorkomen dat de proefversie per apparaat wordt herhaald).
Deze gegevens worden uitsluitend kortstondig verwerkt om de proefversie te beperken (één per apparaat per dag, 20 per globaal IP per dag) en om misbruik te voorkomen.
4.8 Beveiliging
- Uw app-vergrendelingscode (indien u deze inschakelt) wordt uitsluitend opgeslagen in de iOS Keychain op uw apparaat; deze verlaat uw telefoon niet. Uw biometrische gegevens (Face ID / Touch ID) blijven in de Secure Enclave van Apple; deze worden niet aan ons doorgegeven.
5. Verwerkingsdoeleinden en Rechtsgronden
Het doel van elke verwerking en de rechtsgrond op grond van de artikelen 5-6 van de KVKK en artikel 6 van de GDPR worden hieronder in tabelvorm weergegeven:
| Verwerkingsactiviteit | Doel | KVKK-rechtsgrond | GDPR-rechtsgrond |
|---|---|---|---|
| Een account aanmaken en uw aantekeningen opslaan | Kernlevering van de Dienst | Art. 5/2(c) — totstandkoming en uitvoering van de overeenkomst | Art. 6(1)(b) — uitvoering van de overeenkomst |
| AI-inzichten genereren op basis van uw dagboekaantekeningen | Uitsluitend wanneer u uitdrukkelijke toestemming heeft gegeven | Art. 6(2) — uitdrukkelijke toestemming voor bijzondere categorieën van persoonsgegevens | Art. 6(1)(a) + Art. 9(2)(a) — uitdrukkelijke toestemming voor bijzondere categorieën van persoonsgegevens |
| Dagelijkse dankbaarheidsherinneringen versturen | Wanneer u dit inschakelt in Instellingen | Art. 5(1) — uitdrukkelijke toestemming | Art. 6(1)(a) — toestemming |
| Abonnement verwerken via Apple en RevenueCat | Levering van de door u aangeschafte dienst | Art. 5/2(c) — uitvoering van de overeenkomst | Art. 6(1)(b) — overeenkomst |
| Crashrapportage en geaggregeerde productanalyses | Een betrouwbare en stabiele app aanbieden | Art. 5/2(f) — gerechtvaardigd belang | Art. 6(1)(f) — gerechtvaardigd belang |
| Maatregelen tegen misbruik (DeviceCheck, IP-hashing, quotumlimieten) | Voorkomen van fraude en kostenmisbruik | Art. 5/2(f) — gerechtvaardigd belang | Art. 6(1)(f) — gerechtvaardigd belang |
| Bewaren van betalingsgegevens voor belasting en boekhouding | Naleving van wettelijke verplichtingen | Art. 5/2(a) — wettelijke verplichting | Art. 6(1)(c) — wettelijke verplichting |
| Reageren op rechtmatige verzoeken van bevoegde autoriteiten | Wettelijke verplichting | Art. 5/2(a) — wettelijke verplichting | Art. 6(1)(c) — wettelijke verplichting |
Wij verwerken uw gegevens niet met het oog op profilering, voeren geen geautomatiseerde besluitvorming uit die voor u aanzienlijke gevolgen kan hebben en verkopen of verhuren uw persoonsgegevens niet.
6. Verwerking van Uw Dagboekinhoud met Kunstmatige Intelligentie
Deze paragraaf is speciaal voor u opgesteld, zowel in het kader van Apple App Store Review Guideline 5.1.2(i) als omdat u de eigenaar bent van uw dagboek.
Wat wordt er gedaan?
Indien u uitdrukkelijke toestemming geeft, stuurt Thanxful geselecteerde dagboekaantekeningen naar externe AI-aanbieders; deze aanbieders genereren het volgende:
- Direct inzicht — een korte reflectie op één enkele aantekening.
- Wekelijkse samenvatting — een beknopte analyse van de afgelopen 7 dagen.
- Maandelijkse samenvatting — een diepgaande analyse van de afgelopen 30 dagen.
Door wie worden uw aantekeningen verwerkt?
- OpenAI (primaire aanbieder) — de modellen
gpt-4o-miniengpt-4o. De servers bevinden zich in de Verenigde Staten. - Google Gemini (back-upaanbieder, indien OpenAI niet beschikbaar is) — op de wereldwijde infrastructuur van Google.
Welke gegevens worden doorgegeven?
- De tekst van de aantekeningen over de geanalyseerde periode.
- Uw weergavenaam (zodat het inzicht u bij naam kan aanspreken).
- Uw taalvoorkeur (zodat het inzicht in uw taal wordt gegenereerd).
Welke gegevens worden niet doorgegeven?
- Uw e-mailadres.
- Reeksgegevens, abonnementsstatus of overige profielgegevens.
- Geen enkel gegeven van een andere gebruiker.
Bewaartermijnen aan de zijde van de aanbieder
- OpenAI bewaart via de API ontvangen verzoeken maximaal 30 dagen ten behoeve van misbruikdetectie en verwijdert deze daarna. OpenAI gebruikt API-gegevens niet voor het trainen van modellen. (Bron: OpenAI API Terms.)
- Google Gemini gebruikt API-gegevens standaard niet voor het trainen van modellen. (Bron: Google Gemini API Terms.)
Uw uitdrukkelijke toestemming
- Op het moment dat AI voor het eerst zou kunnen worden ingezet — tijdens onboarding, na het opslaan van een aantekening of na aankoop van premium — wordt om uw uitdrukkelijke toestemming gevraagd.
- Uw toestemming wordt vastgelegd in een uitsluitend toevoegbaar auditlogboek (
users/{uid}/aiConsent). - U kunt uw toestemming op elk moment intrekken: Instellingen → AI-toestemming. Intrekking stopt toekomstige verwerking onmiddellijk. Reeds gegenereerde inzichten blijven in uw geschiedenis staan totdat u deze of uw account verwijdert.
- Aangezien uw dagboek bijzondere categorieën van persoonsgegevens kan bevatten in de zin van artikel 6 van de KVKK en artikel 9 van de GDPR, is uw uitdrukkelijke toestemming de rechtsgrond voor doorgifte aan AI-aanbieders.
AI-inzichten zijn geen medisch, juridisch of therapeutisch advies
Inzichten zijn automatisch gegenereerde teksten. Zij kunnen onjuist, misleidend of uit hun context gerukt zijn. Zij vervangen geen erkende therapeut, arts, advocaat of andere professional. Indien u in nood verkeert, raden wij u aan een bevoegde professional te raadplegen of, in noodgevallen, contact op te nemen met de lokale hulpdiensten.
7. Delen en Derden
Uw persoonsgegevens worden uitsluitend gedeeld met onderstaande dienstverleners en uitsluitend voor de aangegeven doeleinden. Elke aanbieder is contractueel verplicht uw persoonsgegevens uitsluitend op basis van onze instructies te verwerken en passende beveiligingsmaatregelen te nemen.
| Aanbieder | Rol | Gedeelde gegevens | Regio | Privacybeleid |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastructuur: authenticatie, Firestore, Storage, Cloud Functions, meldingen, analytics, crashrapportage, remote config, App Check | Alle profielgegevens, dagboekaantekeningen, FCM-tokens, analytics-gebeurtenissen, crashrapporten | Firestore en Cloud Functions in europe-west1 (België, EU). Analytics en Crashlytics op de wereldwijde infrastructuur van Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generatie van AI-inzichten | Dagboektekst, weergavenaam, taal — uitsluitend met uw toestemming | Verenigde Staten | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generatie van AI-inzichten (back-up) | Hetzelfde als bij OpenAI | Verenigde Staten / wereldwijd | https://policies.google.com/privacy |
| RevenueCat, Inc. | Abonnementsbeheer | Firebase-gebruikers-ID, product-ID, abonnementsstatus, verlengingsdatum | Verenigde Staten | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs-meldingen, DeviceCheck, App Store-betalingen | Apple ID-e-mailadres, meldingstokens, apparaatbits, aankoopgegevens | Apple-infrastructuur | https://www.apple.com/legal/privacy/ |
Opmerking over Meta / Facebook: in ons Info.plist-bestand is uitsluitend de declaratie FacebookAppID: 2198469434228743 opgenomen om het URL-schema voor "Delen naar Instagram Stories" in te schakelen. Wij gebruiken geen Facebook SDK; er worden geen gegevens naar Meta verzonden. Wanneer u ervoor kiest te delen — en uitsluitend in dat geval — wordt de door u gekozen afbeelding via het iOS Share Sheet doorgegeven aan de Instagram-app.
Verzoeken van bevoegde autoriteiten
Uw persoonsgegevens worden uitsluitend aan bevoegde autoriteiten verstrekt in het kader van een geldige juridische procedure in Türkiye of een geldige juridische procedure van een land dat rechtsmacht over ons uitoefent. Voor zover wettelijk toegestaan, wordt u over dergelijke verzoeken geïnformeerd.
Geen verkoop van gegevens
Uw persoonsgegevens worden niet verkocht. Volgens de definities van de CCPA/CPRA worden zij niet "gedeeld" voor cross-context behavioural advertising.
8. Doorgifte naar het Buitenland
Uw account en dagboek worden bewaard binnen de Europese Unie (Google Cloud europe-west1, België).
Sommige van onze dienstverleners zijn gevestigd in de Verenigde Staten:
- OpenAI en Google Gemini ontvangen uw dagboekaantekeningen (uitsluitend met uw toestemming) ten behoeve van AI-verwerking.
- RevenueCat verwerkt uw abonnementsstatus.
- Bepaalde diensten van Apple en Firebase draaien op een wereldwijde infrastructuur.
De juridische mechanismen waarop deze doorgiften zijn gebaseerd:
- Onder de GDPR: de Standaardcontractbepalingen van de Europese Commissie nr. 2021/914 (SCC's) die zijn opgenomen in de met elke aanbieder gesloten gegevensverwerkingsovereenkomsten; technische maatregelen die tijdens en na doorgifte worden toegepast (versleuteling, toegangscontrole). Voor aanbieders die over een certificering onder het EU–US Data Privacy Framework beschikken, wordt aanvullend op dat adequaatheidsbesluit gesteund.
- Onder de UK GDPR: het UK International Data Transfer Addendum (IDTA) dat aan dezelfde SCC's wordt toegevoegd.
- Onder de KVKK: wordt een beroep gedaan op de volgende meervoudige set waarborgen:
- Indien u de AI-functie inschakelt, geldt voor de doorgifte van uw dagboekinhoud naar de Verenigde Staten uw uitdrukkelijke toestemming op grond van artikel 9 van de KVKK;
- De met elke aanbieder gesloten gegevensverwerkingsovereenkomsten (DPA's) — met name de Google Cloud / Firebase DPA (waarin de SCC's zijn opgenomen), de OpenAI API Data Processing Addendum en de RevenueCat DPA — als contractuele waarborg;
- De in §11 genoemde technische maatregelen (versleuteling, App Check, minimalisering van persoonsgegevens bij logregistratie).
Het is ons doel om met elke aanbieder die het door de Turkse Autoriteit Persoonsgegevens (Kişisel Verileri Koruma Kurumu) gepubliceerde sjabloon voor de Standart Sözleşme wenst te ondertekenen, dit sjabloon te ondertekenen en de Autoriteit hiervan binnen 5 werkdagen na de ondertekeningsdatum in kennis te stellen. Indien een aanbieder het sjabloon van de Autoriteit niet aanvaardt en gebruikmaakt van zijn eigen DPA, wordt de hierboven genoemde set waarborgen toegepast.
Een afschrift van de doorgiftewaarborgen kunt u opvragen via [email protected].
9. Bewaartermijn
Persoonsgegevens worden uitsluitend bewaard zolang als noodzakelijk is.
| Gegeven | Bewaartermijn |
|---|---|
| Accountgegevens (e-mail, naam, profiel, voorkeuren) | Totdat u uw account verwijdert. |
| Dagboekaantekeningen, stemmingen, reeksgegevens | Totdat u deze zelf verwijdert, gebruikmaakt van Inhoud Resetten of uw account verwijdert. |
| Logboek van AI-toestemming | Gedurende de looptijd van het account, uitsluitend toevoegbaar (vereist door App Store 5.1.2(i)). Wordt verwijderd samen met het account. |
| Gegenereerde AI-inzichten (direct, wekelijks, maandelijks) | Totdat u deze zelf verwijdert of uw account verwijdert. |
| FCM-meldingstokens | Totdat uw apparaat zich uitschrijft, u zich afmeldt of het account wordt verwijderd. |
| Crashlytics-crashrapporten | 90 dagen (standaard van Google). |
| Firebase Analytics-gebeurtenisgegevens | 14 maanden (minimumstandaard van Google). |
| Serverlogs (Cloud Logging) | 400 dagen (de inhoud van aantekeningen wordt niet in logs opgenomen; zie §11). |
| Traceerbaarheidsregistraties (Cloud Trace) | 15 dagen. |
| Functieverzoeken / foutrapporten | Bewaard ten behoeve van productontwikkeling; bij accountverwijdering geanonimiseerd door verwijdering van de gebruikers-ID. |
| Betalingsgegevens (via Apple en RevenueCat) | De op grond van Turkse fiscale en handelswetgeving voorgeschreven termijn — doorgaans 10 jaar. |
Wanneer u uw account verwijdert (Instellingen → Geavanceerd → Account verwijderen of per e-mail), worden uw profiel, aantekeningen, inzichten, prestaties, AI-toestemmingslogboek en FCM-tokens onmiddellijk uit onze actieve systemen verwijderd. Voor caches, back-ups en logs van dienstverleners kan het tot 30 dagen duren voordat de verwijdering is voltooid.
10. Uw Rechten
Afhankelijk van het land waarin u woont, heeft u alle of een aantal van de volgende rechten:
KVKK Artikel 11 (inwoners van Türkiye):
- Inzage of uw persoonsgegevens worden verwerkt.
- Indien zij worden verwerkt, daaromtrent informatie verzoeken.
- Inzage in het verwerkingsdoel en of zij conform dat doel worden gebruikt.
- Kennis van de derden waaraan zij in binnen- of buitenland worden doorgegeven.
- Verzoek tot rectificatie indien zij onvolledig of onjuist zijn verwerkt.
- Verzoek tot verwijdering of vernietiging op grond van artikel 7 van de KVKK.
- Verzoek dat verzoeken tot rectificatie, verwijdering of vernietiging worden gemeld aan de derden waaraan de gegevens zijn doorgegeven.
- Bezwaar tegen een resultaat ten nadele van u dat voortvloeit uit analyse door geautomatiseerde systemen.
- Verzoek tot vergoeding van schade die u heeft geleden door onrechtmatige verwerking.
GDPR (inwoners van EU/EER en VK):
- Inzage (Art. 15), rectificatie (Art. 16), verwijdering (Art. 17), beperking van de verwerking (Art. 18), dataportabiliteit (Art. 20), bezwaar (Art. 21), intrekking van uw uitdrukkelijke toestemming (Art. 7). Ons selfservice-exportscherm is nog niet beschikbaar; indien u hierom per e-mail verzoekt, sturen wij uw aantekeningen en profielgegevens binnen 30 dagen in gestructureerd JSON-formaat naar u toe.
CCPA / CPRA (inwoners van Californië):
- Recht om te weten welke persoonsgegevens worden verzameld, alsmede de bronnen, doeleinden en derden.
- Recht op verwijdering en rectificatie.
- Recht om bezwaar te maken tegen de verkoop/het delen van persoonsgegevens — wij verkopen of delen geen gegevens; er is dus niets om bezwaar tegen te maken.
- Recht om het gebruik van gevoelige persoonsgegevens te beperken — gevoelige gegevens (uw dagboekinhoud) worden niet gebruikt voor andere dan de in §5 vermelde doeleinden.
- Recht om niet te worden gediscrimineerd wegens de uitoefening van uw rechten.
Hoe kunt u uw rechten uitoefenen?
Stuur een e-mail naar [email protected] met als onderwerp Privacy Request en vermeld welk recht u wenst uit te oefenen. Om uw identiteit te verifiëren kunnen wij om aanvullende gegevens vragen (doorgaans door u te verzoeken te antwoorden vanaf het bij uw account geregistreerde e-mailadres). Op grond van artikel 13 van de KVKK en artikel 12 van de GDPR wordt uw verzoek uiterlijk binnen 30 dagen afgehandeld. Indien een verlenging noodzakelijk is, informeren wij u over de reden en het verwachte tijdstip van antwoord.
Indien u onder de CCPA een verzoek wenst in te dienen via een gemachtigde, kunnen wij ondanks de volmacht van de gemachtigde alsnog contact met u opnemen om uw identiteit te verifiëren.
Tenzij uw verzoek kennelijk ongegrond of buitensporig is, is het uitoefenen van deze rechten kosteloos.
Klachteninstanties
- Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/EER: de gegevensbeschermingsautoriteit in uw land — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Verenigd Koninkrijk: Information Commissioner's Office — https://ico.org.uk/
- Californië: California Privacy Protection Agency — https://cppa.ca.gov/
11. Maatregelen voor Gegevensbeveiliging
Gegevensbeveiliging wordt vanaf de ontwerpfase in acht genomen. De toegepaste technische en organisatorische maatregelen omvatten onder andere:
- Versleuteling tijdens overdracht — al het netwerkverkeer wordt versleuteld met TLS 1.2+.
- Versleuteling bij opslag — server-side AES-256-versleuteling van Google Cloud.
- Authenticatie — Firebase Auth; wachtwoorden worden nooit in platte tekst opgeslagen.
- App Check — Apple App Attest in de productie-build; verzoeken vanuit niet-vertrouwde bronnen worden geweigerd.
- Apple DeviceCheck — voorkomt misbruik bij onboarding-proefversies.
- Strikte Firestore-beveiligingsregels — elke gebruiker leest en schrijft uitsluitend zijn eigen gegevens.
- Isolatie van gevoelige gegevens — de app-vergrendelingscode wordt uitsluitend bewaard in de iOS Keychain; biometrische gegevens blijven in de Apple Secure Enclave.
- Logs met geminimaliseerde PII — dagboekinhoud wordt niet opgenomen in serverlogs; uitsluitend voor exploitatie en foutopsporing noodzakelijke metagegevens (gebruikers-ID, gebeurtenistype, status) worden geregistreerd.
- Beheer van geheime sleutels — API-sleutels (OpenAI, RevenueCat, Apple DeviceCheck) worden bewaard in Firebase Secret Manager; zij komen niet voor in de code.
Aangezien geen enkel systeem volledig veilig is, geldt bij vaststelling van een inbreuk in verband met persoonsgegevens het volgende:
- Op grond van artikel 12 lid 5 van de KVKK wordt de Turkse Autoriteit Persoonsgegevens binnen 72 uur in kennis gesteld;
- Op grond van artikel 33-34 van de GDPR worden inwoners van EU/EER rechtstreeks en de bevoegde autoriteiten dienovereenkomstig in kennis gesteld.
12. Kinderen
Thanxful is niet gericht op kinderen jonger dan 13 jaar. Om de Dienst te kunnen gebruiken, moet u ten minste 13 jaar oud zijn (zie Gebruiksvoorwaarden §3). Indien u tussen de 13 en 16 jaar oud bent (de leeftijd voor digitale toestemming in sommige EU-lidstaten), kunnen de wetten in uw land toestemming van een ouder of voogd vereisen. Op grond van artikel 15 van het Turks Burgerlijk Wetboek (TMK) hebben minderjarigen onder de 18 jaar geen volledige handelingsbekwaamheid; voor een gebruiker jonger dan 18 jaar is de instemming van een ouder of voogd vereist.
Er worden niet bewust persoonsgegevens verzameld van kinderen jonger dan 13 jaar. Indien u als ouder of voogd vermoedt dat uw kind zonder uw medeweten gegevens heeft gedeeld, kunt u schrijven naar [email protected]; de gegevens zullen worden verwijderd.
De leeftijdsclassificatie van de app in de App Store (4+) geeft aan dat de inhoud van de app geschikt is voor alle leeftijden (geen geweld, seksuele inhoud of grof taalgebruik). Deze inhoudsclassificatie wijzigt het contractuele verbod voor personen jonger dan 13 jaar niet.
In de onboarding is geen aparte leeftijdscontrole (age gate) opgenomen; de minimumleeftijd wordt door middel van een schriftelijke overeenkomst toegepast — een gangbare praktijk in dagboek- en welzijnsapps.
13. Californië (CCPA / CPRA) Bekendmakingen
Indien u inwoner bent van Californië, is deze paragraaf in aanvulling op de rest van dit beleid op u van toepassing.
Verzamelde categorieën persoonsgegevens (afgelopen 12 maanden)
| CCPA-categorie | Verzameld? | Bron | Doel | Gedeeld met |
|---|---|---|---|---|
| Identificatoren (e-mail, gebruikers-ID, apparaat-ID) | Ja | Uzelf; uw apparaat | Account, beveiliging, analytics | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) | Ja (naam) | Uzelf | Account | Firebase |
| Beschermde classificaties | Nee | — | — | — |
| Commerciële informatie (abonnementsgeschiedenis) | Ja | Apple, RevenueCat | Levering van het abonnement | RevenueCat |
| Biometrische informatie | Nee (Face ID blijft op het apparaat) | — | — | — |
| Internet- / netwerkactiviteit | Beperkt (app-gebeurtenissen, crashrapporten) | Uw apparaat | Analytics, betrouwbaarheid | Firebase |
| Locatie | Uitsluitend op grof niveau (land / tijdzone) | Uw apparaat | Lokalisatie van inhoud | Firebase |
| Audio / beeld | Profielfoto (optioneel) | Uzelf | Profiel | Firebase Storage |
| Beroep of werkgelegenheid | Nee | — | — | — |
| Onderwijs | Nee | — | — | — |
| Conclusies | Nee | — | — | — |
| Gevoelige persoonsgegevens | Dagboekinhoud wordt als gevoelig beschouwd | Uzelf | AI-inzichten (uitsluitend met toestemming) | OpenAI, Google Gemini |
Uw rechten in Californië
- Weten / inzage — zie §10.
- Verwijdering / rectificatie — zie §10.
- Bezwaar tegen verkoop / delen — uw persoonsgegevens worden niet verkocht of gedeeld; er is dus niets om bezwaar tegen te maken.
- Beperking van het gebruik van gevoelige gegevens — gevoelige gegevens (uw dagboekinhoud) worden uitsluitend gebruikt voor de in §6 beschreven doeleinden en met uw uitdrukkelijke toestemming.
- Niet-discriminatie — uw toegang tot de Dienst wordt bij uitoefening van deze rechten niet beperkt, er worden geen andere prijzen gehanteerd en er wordt geen andere kwaliteit geboden.
Voor verzoeken kunt u schrijven naar [email protected] met als onderwerp California Privacy Request. Wij verifiëren uw identiteit aan de hand van het bij het account geregistreerde e-mailadres.
Er wordt geen financiële vergoeding aangeboden in ruil voor persoonsgegevens.
14. Cookies en Vergelijkbare Technologieën
In de iOS-app: er worden geen webcookies gebruikt. De app bewaart uitsluitend op uw apparaat kleine voorkeuren (zoals thema, taal en meldingsvoorkeur) in UserDefaults en de app-vergrendelingscode in de iOS Keychain. Deze gegevens worden niet met ons of met derden gedeeld.
Op thanxful.app: per de inwerkingtredingsdatum van dit beleid maakt de promotiesite geen gebruik van cookies, web-beacons of analytics-trackers van derden. Indien deze in de toekomst worden toegevoegd, wordt deze paragraaf bijgewerkt, zal er op de site een cookie-toestemmingsbanner worden getoond en wordt de wijziging op grond van §15 als belangrijke wijziging behandeld.
15. Wijzigingen in het Beleid
Dit beleid kan van tijd tot tijd worden bijgewerkt. Bij belangrijke wijzigingen (wijzigingen die uw rechten of de wijze van verwerking van uw gegevens beïnvloeden) wordt u ten minste 30 dagen voordat de wijziging van kracht wordt per e-mail en via een melding in de app op de hoogte gebracht. Bij niet-belangrijke wijzigingen (typografische correcties, verduidelijkingen) wordt het document bijgewerkt en wordt de bovenaan vermelde Inwerkingtredingsdatum aangepast.
Indien u de nieuwe versie niet aanvaardt, kunt u het gebruik van de Dienst staken en uw account verwijderen vóór de inwerkingtredingsdatum.
16. Contact
Voor alle vragen, verzoeken of klachten met betrekking tot privacy:
- E-mail:
[email protected](onderwerp:Privacy) - Verwerkingsverantwoordelijke: Kadir Alan — eenmanszaak (şahıs şirketi), Türkiye
Indien een postadres voor formele kennisgevingen vereist is, kunt u ons eerst schrijven via [email protected]; het adres wordt op verzoek verstrekt.
De toezichthoudende autoriteiten waarbij u een klacht kunt indienen, zijn opgesomd in §10.
17. Woordenlijst
- KVKK — Kişisel Verilerin Korunması Kanunu nr. 6698 (Türkiye).
- GDPR — Verordening (EU) 2016/679, de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.
- CCPA / CPRA — California Consumer Privacy Act, zoals gewijzigd door de California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (VS, jonger dan 13 jaar).
- FCM — Firebase Cloud Messaging (infrastructuur voor meldingen).
- Bijzondere categorieën van persoonsgegevens / gevoelige gegevens — categorieën van gegevens die op grond van artikel 6 van de KVKK en artikel 9 van de GDPR een verhoogde bescherming vereisen, zoals gezondheid, religie, politieke opvatting, seksueel leven en vakbondslidmaatschap.
- Verwerkingsverantwoordelijke — de natuurlijke of rechtspersoon die de doeleinden en middelen voor de verwerking van persoonsgegevens vaststelt en verantwoordelijk is voor de inrichting en het beheer van het gegevensregistratiesysteem (hier: Kadir Alan).
- Uitdrukkelijke toestemming — een specifieke, op informatie gebaseerde en in vrijheid geuite wilsuiting met betrekking tot een bepaald onderwerp.
Bedankt dat u ons vertrouwt op uw reis van dankbaarheid.
— Thanxful